K8s 身份认证和权限

已于 2024-05-17 14:11:49 修改
阅读量785 收藏 22
点赞数 8
分类专栏: # k8s 文章标签: kubernetes 容器 云原生
于 2024-05-17 14:10:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55752792/article/details/139003348
版权

文章目录

K8s 身份认证和权限

Kubernetes 中提供了良好的多租户认证管理机制,如 RBAC、ServiceAccount 还有各种策略等。

通过该文件可以看到已经配置了 RBAC 访问控制

/usr/lib/systemd/system/kube-apiserver.service

认证

所有 Kubernetes 集群有两类用户:由 Kubernetes 管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。

普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。

需要注意:在 Kubernetes 中不能通过 API 调用将普通用户添加到集群中

  • 普通帐户是针对(人)用户的,服务账户针对 Pod 进程。
  • 普通帐户是全局性。在集群所有namespaces中,名称具有惟一性。
  • 通常,群集的普通帐户可以与企业数据库同步,新的普通帐户创建需要特殊权限。服务账户创建目的是更轻量化,允许集群用户为特定任务创建服务账户。
  • 普通帐户和服务账户的审核注意事项不同。
  • 对于复杂系统的配置包,可以包括对该系统的各种组件的服务账户的定义。

Service Accounts

服务账号以 ServiceAccount 对象的形式存在于 API 服务器中。服务账号具有以下属性:

  • 名字空间限定: 每个服务账号都与一个 Kubernetes 名字空间绑定。 每个名字空间在创建时,会获得一个名为 default 的 ServiceAccount

  • 轻量级: 服务账号存在于集群中,并在 Kubernetes API 中定义。你可以快速创建服务账号以支持特定任务。

  • 可移植性: 复杂的容器化工作负载的配置包中可能包括针对系统组件的服务账号定义。 服务账号的轻量级性质和名字空间作用域的身份使得这类配置可移植。

服务账号与用户账号不同,用户账号是集群中通过了身份认证的人类用户。默认情况下, 用户账号不存在于 Kubernetes API 服务器中;相反,API 服务器将用户身份视为不透明数据。 你可以使用多种方法认证为某个用户账号。某些 Kubernetes 发行版可能会添加自定义扩展 API 来在 API 服务器中表示用户账号。

Service Account Admission Controller

通过 Admission Controller 插件来实现对 pod 修改,它是 apiserver 的一部分。创建或更新 pod 时会同步进行修改 pod。当插件处于激活状态(在大多数发行版中都默认情况)创建或修改 pod 时,会按以下操作执行:

  1. 如果 pod 没有设置 ServiceAccount,则将 ServiceAccount 设置为 default。
  2. 确保 pod 引用的 ServiceAccount 存在,否则将会拒绝请求。
  3. 如果 pod 不包含任何 ImagePullSecrets,则将ServiceAccount 的 ImagePullSecrets 会添加到 pod 中。
  4. 为包含 API 访问的 Token 的 pod 添加了一个 volume。
  5. 把 volumeSource 添加到安装在 pod 的每个容器中,挂载在 /var/run/secrets/kubernetes.io/serviceaccount。

Token Controller

TokenController 作为 controller-manager 的一部分运行。异步执行:

  • 观察 serviceAccount 的创建,并创建一个相应的 Secret 来允许 API 访问。
  • 观察 serviceAccount 的删除,并删除所有相应的ServiceAccountToken Secret
  • 观察 secret 添加,并确保关联的 ServiceAccount 存在,并在需要时向 secret 中添加一个 Token。
  • 观察 secret 删除,并在需要时对应 ServiceAccount 的关联

Service Account Controller

Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。

授权(RBAC)

Role

代表一个角色,会包含一组权限,没有拒绝规则,只是附加允许。它是 Namespace 级别的资源,只能作用与 Namespace 之内。

# 查看已有的角色信息
kubectl get role -n ingress-nginx -oyaml

demo文件

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
  name: nginx-ingress
  namespace: ingress-nginx
roles:
- apiGroups:
  - ""
  resources:
  - configmaps
  - pods
  - secrets
  - namespaces
  verbs:
  - get
- apiGroups:
  - ""
  resourceNames:
  - ingress-controller-label-nginx
  resources:
  - configmaps
  verbs:
  - get
  - update
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - create

ClusterRole

功能与 Role 一样,区别是资源类型为集群类型,而 Role 只在 Namespace

# 查看某个集群角色的信息
kubectl get clusterrole view -oyaml

RoleBinding

Role 或 ClusterRole 只是用于制定权限集合,具体作用与什么对象上,需要使用 RoleBinding 来进行绑定。

作用于 Namespace 内,可以将 Role 或 ClusterRole 绑定到 User、Group、Service Account 上。

# 查看 rolebinding 信息
kubectl get rolebinding --all-namespaces

# 查看指定 rolebinding 的配置信息
kubectl get rolebinding <role_binding_name> --all-namespaces -oyaml

demo

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  ......
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: nginx-ingress
subjects:
- kind: ServiceAccount
  name: nginx-ingress-serviceaccount
  namespace: ingress-nginx

ClusterRoleBinding

与 RoleBinding 相同,但是作用于集群之上,可以绑定到该集群下的任意 User、Group 或 Service Account

注:这块内容更多是需要运维人员去处理,对于开发,有一定理论基础即可,后期要用再深究吧

go&Python
关注
  • 8
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes K8s CKA认证-PPT
05-24
安装k8s.pdf 0-docker.pdf 1.pod.pdf 10.安全及配额管理.pdf 13.devOps实战.pdf 14-sts.pdf 15.k8s升级.pdf 15.多master.pdf 2.volume.pdf 3.密码管理.pdf 4.deployment.pdf 5.daemonset.pdf 5.健康性...
k8s-身份认证权限
Mclaughling的博客
10-28 4415
k8s-身份认证权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
k8s-整体概述和架构
01-27
Kubernetes是一个轻便的和可扩展的开源平台,用于管理容器化应用和服务。通过Kubernetes能够进行应用的自动化部署和扩缩容。在Kubernetes中,会将组成应用的容器组合成一个逻辑单元以更易管理和发现。Kubernetes积累...
k8s安装教程和部署的详细说明
01-24
[k8s v.1.10.0 二进制安装](./1.k8s v.1.10.0 二进制安装.md) [calico网络设置](./2.k8s 二进制安装集群-calico网络设置.md) calico网络策略 [kubedns配置](./3.K8S 二进制安装集群-kubedns配置.md) [kube-dashboard...
k8s和docker部署教程
02-19
k8s和docker部署教程
k8s 认证 cka-模拟环境资料
01-05
文章《K8s 认证工程师 CKA 考题分析和题库练习》中需要用到的文件资料!里面包含 addon.tar.gz、etcd-v3.4.13-linux-amd64.tar.gz、metrics.yaml、metrics-server-amd64-0-3-6.tar.gz 4 个文件。
k8s自动补全命令
aaqq123456654321的博客
06-03 435
【代码】k8s自动补全命令。
大白话说明:k8s-Service资源的理解以及与Ingress Controller 做区分
博然的宝藏库
06-03 290
1、kube-proxy会拦截所有访问Service Cluster-ip的流量并且通过Service的Endpoints 来list实际的后端IP地址。2、当你创建Service资源时会同时创建一个名称为Endpoints的资源对象来List 这些实际的Pod的IP。2、Ingress Controller 只需要Service 的Endpoints的信息。2、7层则可以使用应用层的Http层应用层协议并且可以做的LB更加灵活。3、它干的活儿就是一个 4层LB的活儿。五、4层LB和7层LB的区别。
k8s 1.28.x 配置nfs
liudongyang123的博客
06-02 328
的支持,而默认上面指定的 provisioner 版本需要 SelfLink 功能,因此 PVC 无法进行自动制备。在 k8s 1.20 之后,出于对性能和统一 apiserver 调用方式的初衷,k8s 移除对。systemctl enable nfs-server #开机启动。systemctl restart nfs-server #启动。#*代表对所有IP都开放此目录,rw是读写。查看NFS共享目录,ip为机器的内部IP。1.安装nfs,在每个节点上安装。3.编写NFS的共享配置。
k8s的三种探针】
CodeStar`
06-05 628
k8s 有三种类型的探针:`StartupProbe`(启动探针)、`LivenessProbe`(存活探针)、`ReadinessProbe`(就绪探针)。它们可以同时存在,但如果有`StartupProbe`就会先执行该探针。
k8s系列-Listen: listen tcp :53: bind: permission denied
u011197085的博客
06-03 352
要解决coredns无法绑定到低于 1024 的端口(如端口 53)的权限问题,可以通过启用containerd的配置选项来允许非特权端口绑定。
k8s学习--kube-proxy的三种工作模式详细解释
lwxvgdv的博客
06-06 541
kube-proxy 是 Kubernetes 中负责集群中网络规则的组件,它维护网络规则使得 Pod 间的网络通信和访问集群外部的服务成为可能。kube-proxy 支持三种工作模式:userspace 模式、iptables 模式和 ipvs 模式。实现简单,但性能较低,适用于早期的测试和开发环境。性能较好,适用于大多数生产环境,但在处理大量规则时可能复杂。性能最佳,支持更多的负载均衡算法和规则,适用于高性能和大规模集群,但需要内核支持。一般情况下,都默认使用ipvs模式。
一次 K8s 故障诊断:从 CPU 高负载到存储挂载泄露根源揭示
虫虫的博客
06-04 919
一次 K8s 故障诊断:从 CPU 高负载到存储挂载泄露根源揭示
k8s学习--负载均衡器matelLB的详细解释与安装
最新发布
lwxvgdv的博客
06-06 661
MetalLB 是一个专为 Kubernetes 设计的负载均衡器,实现了对外部流量的负载均衡,特别适用于在裸机(bare metal)环境中运行的 Kubernetes 集群。通常,云提供商会提供内置的负载均衡服务,但在裸机环境中,缺少类似的服务。MetalLB 填补了这个空白,为裸机 Kubernetes 集群提供了一种简单且有效的负载均衡解决方案。
k8s集群的存储卷、pvc和pv
2301_81307988的博客
05-31 1072
PV全称叫做 Persistent Volume,持久化存储卷。它是用来描述或者说用来定义一个存储卷的,这个通常都是由运维工程师来定义。PVC的全称是 Persistent Volume Claim,是持久化存储的请求。它是用来描述希望使用什么样的或者说是满足什么条件的 PV 存储。
k8s笔记——kubectl apply run create区别
e891377的专栏
05-31 625
用于通过文件或标准输入来应用配置,支持更新已存在的资源。:用于快速启动容器化的应用程序,特别适合快速测试或临时部署。:用于从文件、目录或标准输入中创建资源,但不会更新已存在的资源。
k8s 对外服务之 Ingress(HTTPS/HTTP 代理访问 以及Nginx 进行 BasicAuth )
wyq2070857323的博客
06-06 476
目录一 Ingress HTTP 代理访问虚拟主机(一)原理(二)实验1,准备2,创建虚拟主机1资源3,创建虚拟主机2资源4,创建ingress资源5,查看相关参数6,测试访问二 Ingress HTTPS 代理访问(一)理论(二) 实验1,准备2,创建ssl证书3,创建 secret 资源进行存储 3.1 创建Secret资源​编辑3.2 获取Secret资源信息3.3 查看Secret资源4, 创建 deployment、Service、Ingress Yaml 资源5, 查看配置6,真机做
K8s资源管理Dashboard的搭建
FORLOVEHUAN的博客
06-06 568
接上篇k8s集群搭建:Dashboard是官方提供的一个UI,可用于基本管理K8s资源。与k8s版本对应关系:,v2.0.5,
kubernetes】探索k8s集群的配置资源(secret和configma)
zzzxxx520369的博客
06-03 789
Kubernetes中,Secret的内容是加密存储的,以确保敏感信息的安全。这样,当Deployment创建Pod时,Pod中的Nginx容器将挂载ConfigMap中的"log-config"配置到容器的"/etc/config"路径下,使得Nginx容器可以读取并使用"log_level"配置项的值。更新,资源的数据,可以同步更新,通过volume挂载的使用cm配置的pod资源中的配置,如果使用env或envFrom方式引用cm资源,则不会同步更新pod资源中的配置。
k8s里RBAC和ServiceAccount Clusterrolebinding Clusterrole有什么区别
07-17
总结来说,RBAC是Kubernetes中的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

go&Python

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值